我有点惊讶的是，还没有提到带有客户端证书的SSL。当然，只有当您能够依靠证书识别用户群体时，这种方法才真正有用。但许多政府/公司确实向其用户发放了这些证书。用户不必担心创建另一个用户名/密码组合，并且在每个连接上都建立了身份，因此与服务器的通信可以完全无状态，不需要用户会话。（并非意味着所提及的任何/所有其他解决方案都需要会议）

除了HTTP之外，没有其他REST标准。已经建立了REST服务。我建议你看一眼它们，感受一下它们是如何工作的。

例如，在开发自己的服务时，我们借鉴了亚马逊S3 REST服务的许多想法。但我们选择不使用基于请求签名的更高级的安全模型。更简单的方法是通过SSL进行HTTP基本身份验证。你必须决定什么最适合你的情况。

此外，我强烈推荐O'reilly的《RESTful Web Services》一书。它解释了核心概念，并提供了一些最佳实践。您通常可以使用他们提供的模型并将其映射到您自己的应用程序。

正如twitt所说，AmazonS3是一个很好的模型。它们的请求签名确实具有一些特性（如包含时间戳），有助于防止意外和恶意请求重放。

HTTP Basic的优点是几乎所有的HTTP库都支持它。当然，在这种情况下，您需要使用SSL，因为通过网络发送明文密码几乎是一件普遍的坏事。使用SSL时，Basic比Digest更好，因为即使调用方已经知道需要凭据，Digest也需要额外的往返来交换nonce值。使用Basic，调用者只需在第一次发送凭证。

一旦确定了客户机的身份，授权实际上只是一个实现问题。但是，您可以将授权委托给具有现有授权模型的其他组件。同样，Basic的好处是，您的服务器最终提供了客户端密码的明文副本，您可以根据需要将其传递给基础架构中的另一个组件。

您可能还想看看OAuth，这是一种新兴的基于令牌的授权开放协议，专门针对http api。

它与flickr所采用的方法非常相似，并记住牛奶“rest”api（不一定是restful api的好例子，而是基于令牌的方法的好例子）。

我遇到过的关于REST安全性的最好的帖子之一是1 RainDrop。MySpace API也使用OAuth进行安全保护，您可以完全访问RestChess代码中的自定义频道，我对此进行了大量探索。这是在Mix演示的，你可以在这里找到帖子。

我搜索了很多关于restful ws安全性的信息，最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求，因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。